17-7. メ−ルシステムの見直し `27/01〜 (1) 先ずは現状のメ−ルサ−バの様子 -------------------------------------------------------------------------------- Mail-Relay での Greet Pause の設定、Mail-Store での InterScan とその eManager の 利用。さらに侵入防御装置のDefensePro。これら全体がどうなっているのか現状の様子を 描いてみることにする。これまで余り気にしなかったがエラ−メ−ルの処理も重要である。 -------------------------------------------------------------------------------- * メ−ルシステムの全体像 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ JPNIC の登録 \________________/ ------------------------ ISP|TCP |IIJ |nix.co.jj 202.241.128.3 << DNS-1。 / ̄ ̄ ̄\ hostZ 9.1 / ̄ ̄ ̄\ |nix.co.jj 9.1 << DNS-2。 \___/―□ DNS-2 \___/ : .25: hostA は SS5, Solaris 2.6 : □192.168.50.24/29 hostG,B は V210, Solaris 9 □Router □hostA' |.1 |.3 仮想IP Mail-Relay sendmail-8.13.8 ------------------------------- 202.241.128.0 Greet Pause 5秒、迷惑メ−ル a| を玄関口で待たせて追い払う ◆ DNS,WWW,Mail-Relay(Greet Pause) b|.2 □hostA SS5 Mail-Store sendmail-8.12.10 -------.2 |.1 InterScanでウィルスチェック |hostG|--◆---------------- 192.168.2.0 eManager で迷惑メ−ルを除去 ------- c d □hostB Mail-Store |.2 |.1 DefensePro が◆この所を監視 ------------------------------- 192.168.1.0 して不正パケットをドロップ ※Mail-Store では Usermin でパスワ−ドの変更、メ−ル転送が各自でできる。 ※Mail-Relay は予備機だったのを設置する、Interface は hme0。前のは le0。 * hostB の設定 Mail-Store /etc/hostname.bge0 /etc/defaultrouter /etc/nsswitch.conf ------------------ ------------------ ------------------ |hostB |192.168.1.2 |hosts: files dns /etc/mail/local-host-names /etc/resolv.conf は関係なし。 -------------------------- |nix.co.jj /etc/hosts /etc/aliases --------------------------------------------- --------------------- |127.0.0.1 localhost |nobody: /dev/null ここからの |192.168.1.1 hostB hostB.nix.co.jj loghost |Postmaster: katou メ−ルは少 |202.241.128.3 hostA |MAILER-DAEMON: katou ないのでこ |202.232.140.20 a202-232-140-20.deploy.akama.. |root: katou のままで良。 内外からメ−ルTCP/25 ↓sendmail ( sendmail-rx.cf ) /var/spool/mqueue-rx ↓InterScan ウィルスチェック&キ−ワ−ドフィルタ− ↓sendmail ( sendmail-tx.cf ) /var/spool/mqueue InterScan はエンベロ−プ受信者が社内のメ−ルアドレスなら通す、エンベロ−プの発信 者が嘘でも、本文に From:, To: がなくても件名がなくても。eManagerでキ−ワ−ドフィ ルタ−による迷惑メ−ルのブロック。メ−ルサイズ 10MB までの制限、添付ファイル含む。 * hostA の設定 Mail-Relay hostname.hme0 defaultrouter netmasks これら4つ/etc略 nsswitch.conf ------------- ------------- -------------------------- ----------------- |hostA |192.168.2.2 |192.168.2.0 255.255.255.0 |hosts: files dns /etc/hosts /etc/resolv.conf ------------------------------------------ --------------------- |127.0.0.1 localhost localhost.nix.co.jj |domain nix.co.jj |192.168.2.1 hostA mail.nix.co.jj loghost |nameserver 127.0.0.1 << 自分自身。 |192.168.1.1 hostB |nameserver 9.1 << これも要。 /etc/aliases Postmaster 宛のメ−ルは accessファイルで捨て -------------------------------- る。管理者に送りたい場合は、コメントを外して |nobody: /dev/null /etc/mail/accessのところをコメントにすること。 |#Postmaster: katou@nix.co.jj MAILER-DAEMON 宛のメ−ルはあまり出ない。 |#MAILER-DAEMON: katou@nix.co.jj /etc/mail/mailertable ------------------------------ |nix.co.jj esmtp:[192.168.1.1] /etc/mail/access -------------------------------- |Connect:192.168.1.1 RELAY |To:nix.co.jj RELAY | |To:postmaster@nix.co.jj DISCARD バウンスメ−ルなど Postmaster 宛を捨てる。 |To:baka@nix.co.jj DISCARD ブラックリスト、ユ−ザのいないメ−ルを捨てる。 | |GreetPause:127.0.0.1 0 VVV.mc で5秒待つように GreetPauseを設定する。 |GreetPause:192.168.1.0 0 自社ネットワ−クからは待たないようにする。あ |GreetPause:192.168.2.0 0 るいは Mail-Store のIPアドレスに限定するか。 # cd /etc/mail access ファイルをいじったら makemap やること。 # makemap hash access < access VVV.mc /etc/mail/sendmail.cf VVV.mc ファイルは /usr/local/source/ ------------- ------------------------- sendmail-8.13.8/cf/cf/ にある。 |Dwmail |O Timeout.queuereturn=3d |Dmnix.co.jj |O Timeout.queuewarn=4h | | |O LogLevel=4 # /etc/rc2.d/S88sendmail stop # /etc/rc2.d/S88sendmail start # /usr/local/sbin/ndc reload DNS制御ファイルの記述を変更した場合やる事。 /usr/local/etc/named.conf ------------------------------------------- |options { | directory "/usr/local/etc"; |}; |zone "." { | type hint; | file "named.ca"; |}; |zone "nix.co.jj" { | type master; | file "named.hosts"; |}; |zone "128.241.202.in-addr.arpa" { | type master; | file "named.rev"; |}; |zone "0.0.127.in-addr.arpa" { | type master; | file "named.local"; |}; /usr/local/etc/named.hosts ------------------------------------------- |$TTL 86400 |@ IN SOA ns.nix.co.jj. katou.nix.co.jj. ( | 2007041601 3600 1200 3600000 1200); | IN NS ns.nix.co.jj. | IN NS hostZ.tcp.co.jj. | IN MX 10 mail.nix.co.jj. |localhost. IN A 127.0.0.1 |hostA IN A 202.241.128.3 |hostG IN A 202.241.128.2 |ns IN A 202.241.128.3 |www IN A 202.241.128.3 |mail IN A 202.241.128.3 /usr/local/etc/named.rev ------------------------------------------- |$TTL 86400 |@ IN SOA ns.nix.co.jj. katou.nix.co.jj. ( | 2007041601 3600 1200 3600000 1200); | IN NS ns.nix.co.jj. |3 IN PTR ns.nix.co.jj. |2 IN PTR hostG.nix.co.jj. * メ−ルのログ [ Mail-Relay ] マシンは Solaris 2.6。/etc/rc2.d/S75cron でcronを起動、/var/spool/cron/crontabs/ 内の root などを見て。/etc/rc2.d/S74syslog で syslogd を起動、/etc/syslog.confを 見て mail.debug のログを /var/log/syslog に吐き出す。これまで Mail-Relayホストで は syslogd は稼働させていなかった。 ログを取り切れないのでないかということと、ロ グが外に漏れることがないようにとの考えからだった。とりあえず下記 root ファイルで 毎日0時0分に newsyslog を起動し、ログを日毎に1週間分取ることにする。 /etc/syslog.conf -------------------------------------------------------- |mail.debug ifdef(`LOGHOST', /var/log/syslog, @loghost) /var/spool/cron/crontabs/root rootの左米印しから分(0-59),時(0-23),日(1-31), ----------------------------- 月(1-12),曜日(0-6,0 は日曜を表わす)。 |0 0 * * * /usr/lib/newsyslog [ Mail-Store ] マシンは Solaris 9。/etc/syslog.conf の記述は Solaris 2.6 に同じである。rootファ イルの logadm が /etc/logadm.conf を見て、ログをロ−テ−ションさせる。 Solaris 9 では newsyslog は使わない。cron は動いている。 /var/spool/cron/crontabs/root ----------------------------- |0 0 * * * /usr/sbin/logadm 毎日午前3時10分に実行していたのを0時0分にする。 # ls -l /var/log -rw-r--r-- .. 2498551 4月 11日 16:04 syslog ただ今記録中。`27/04時点。 -rw-r--r-- .. 26263562 4月 11日 03:09 syslog.0 ログのサイズは 20〜30 MB。 -rw-r--r-- .. 25989988 4月 4日 03:09 syslog.1 1週間単位で8週分のログ。 | -rw-r--r-- .. 31456910 2月 21日 03:08 syslog.7 syslog.0〜7 記録された分。 (2) 本 Mail-Relay の実稼働と効果 * Mail-Relay 囮の実IPアドレスでの設置 DMZ でのおとり設置では、ほとんどspamメ−ルが来なかった。DefenseProがウィルス 入りメ−ルなどをブロックしてしまっているので、それもあって来ないのでないか。それ で DefensePro がかんでないバリアセグメントに設置してみる。ファイアウォ−ルはおと りホストのパケットは通さない、これまでの設定のままとする。#snoop -d hme0 port 25 で往来する 25 番ポ−トのパケットを見てみた。直ちにパケットがやってくるかと思った らちっとも来ん。メ−ルが来る分には named は動いてなくてもよい。 メ−ルを出すには named が必要である。spamメ−ルの確認だけならメ−ルを出したり Mail-Store に中 継できたりする必要はない。一応このホストだけの DNS の設定をして named も動かした。 : 仮想IP 実IPで設置 mailertable, /etc/resolv.conf Router□ □hostA' ■Mail-Relay囮 nsswitch.conf, --------------------- |.1 |.3 |.4 hostname.hme0 |domain nix.co.jj ----------------------- 202.241.128.0 はそのまま。 |nameserver 127.0.0.1 /usr/local/etc/named.hosts /usr/local/etc/named.rev -------------------------- -------------------------- |mail IN A 202.241.128.4 |4 IN PTR mail.nix.co.jj. |;mail IN A 202.241.128.3 |;3 IN PTR mail.nix.co.jj. # /usr/local/sbin/named & ※このホストでも仮の named を動かす。あくまでもこの ホストのsendmailが参照するため Mail-Relay囮を実IPアドレスで 202.241.128.4 で設置していたのを、 遊んでいる IIJ 回線の方に置くことにする。 マシンはル−タの RTX1000 の空いているポ−トに接続する。 このマシンから named を動かしてないにもかかわらず。 # mail ikken@tcp-ip.or.jj へ メ−ルが行き、転送により katou@nix.co.jj へ戻ってきた。 こっちでしばらく様子を見 ることにする。202.241.128.0 は実際に使われているネットワ−クであり、おとりにより 202.241.128.4 は有効なんだなとspam屋さんなどに発見され、頻繁にパケットが来る ようになるとも限らない。テストが返って問題を誘因するのでは本末転倒である。 # /etc/ifconfig hme0 192.168.50.26 netmask 255.255.255.248 /etc/resolv.conf # route delete net 0.0.0.0 202.241.128.1 1 ----------------- # route add net 0.0.0.0 192.168.50.25 1 |domain nix.co.jj |nameserver 9.1 ※IIJ 有効IPアドレスは 192.168.50.25〜30。 Network Address 192.168.50.24、Netmask 255.255.255.248, fffffff8。 DNS の MX レコ−ドに1次に加えて2次を記述したらどうか。下の "メ−ル交換機でのス パム排除"のレポ−トでは。spam屋さんは MXレコ−ドの番号の大きい方に送り付ける ことを好むと書いてあった。教科書通りに正常なメ−ルサ−バなら、相手 DNS の MXレコ −ドの1次にメ−ルを送る。2次に送るには1次のメ−ルサ−バが停止したりしている場 合である。だから1次がちゃんと動いていれば、2次にはメ−ルは来ない。これを利用す ればおとりの Mail-Relay にspamメ−ルを誘導させることができるかも知れない。し かしどうもそう、うまくは行かないようである。 ネットワ−ク会社をやっている知り合いの人が言うには、2次の方にもメ−ルは来るとい う。その人がめんどうみているメ−ルサ−バでは、1次7割で2次に3割ぐらいメ−ルが 来るという。それって、まともでないメ−ルがわざと2次を選んで行くと思うのだが、そ うとも限らないらしい。そこでは1次、2次でメ−ルを受けて社内の部門毎の Microsoft 系のメ−ルサ−バに中継するようにしている。メ−ルを出すのにはメ−ル送信専用のメ− ルサ−バに送る構成になっている、結構大規模です。思いついた、MXレコ−ドでだめなら Aレコ−ドでどうか。DNS の Aレコ−ドもspam屋さんは見るような気がする。 * 予備機と稼働しているマシンを置き換える # df -k 本番機からメ−ルキュ−のファイルを予備機へコピ−してみた様子。 Filesystem kbytes used avail capacity MOunted on /dev/dsk/.. 497367 121270 310161 29 % /var 572個コピ−した後 126726 304705 30 % 1分30秒でコピ−、5メガ程度。 メ−ルキュ−のファイルを単にコピ−すればいい。うまく素直に行けば、数分で置き換え は終了するというわけだ。qmail ではそういうわけにはいかないと言う。マシン固有の何 かIDみたいなのをファイルに付加するらしい。知り合いのネットワ−ク会社をやってい る人がそう話していた。もうぶっつけ本番だ。おとりにはspamはほとんど来ない。そ の人に Greet Pause のこと教えてあげたら、即その日の内にやってしまった。 そこはメ −ルサ−バに qmail を使っていて、 探したら2つ3つ機能追加のスクリプトがあったそ うな。別にコンパイルする訳でもなさそう。でもログが出て来ないので、弾いているのか どうか分からない。待たせる時間はデフォルトで10秒になっていたとのこと。 小生も qmail のポ−ズ機能を検索してみたら http://spamthrottle.qmail.ca/ とかでて きた。qmail 自体は開発が終わっているようなものなので、有志が付加機能をパッチやス クリプトやコ−ド修正をいろいろ出している。探している過程で "メ−ル交換機でのスパ ム排除"、http://hatuka.nezumi.nu/techdoc/Spam-Filtering-for-MXja/html/index.html という文書に行き当たった。元は英文の http://slett.net/spam-filtering-for-mx/、か なりのボリュ−ムだ。英文の日本語訳でほとんど訳されているもよう。 題には"外部から 来るSMTPトランザクションで不要メ−ルを拒否するには"。ポ−ズについては "2.1. SMTP トランザクションの遅延" に書かれている。全章つぶさに読んでみたい。 レポ−トには、遅延は20秒がまとまなメ−ルを受けるぎりぎりの時間といえる。なぜな らメ−ルサ−バの MTA の一つ exim の実装があまり待たないようになっていて、 30秒 がタイムアウトの時間になっているから。そして20秒の設定で外部から来る不要メ−ル の50%近くを止めている。知り合いの大学の先生からも10秒には少なくともしないと、 効果はあまりないと聞いている。MTA の sendmail, qmail, Postfix はちゃんと待つよう になっているようである。exim は複雑になり過ぎた sendmailの代替になるよう作られて いるとか。しかし国内でもよその国でも exim はほとんど使われていないのでないか。そ れゆえ遅延時間を exim の仕様に合わせるというのは、いささかナンセンスである。 -------------------------------------------------------------------------------- これで決まり。Greet Pause の時間は10秒から20秒に設定、spamメ−ル撃退の目 標50%。あるいはもう少し時間を延ばしたいのであれば、ログを見てまともな相手先で exim を使っていれば、Greet Pause で待ち時間を0にしてそのまま通すようにする。 -------------------------------------------------------------------------------- * 新しいマシンを用意してからにしよう 予備の Mail-Relay マシンである SS5、おとりで使っているマシンを本番機にするのは止 めることにする。どう見ても、メ−ルの量に対してパフォ−マンス不足になっていると思 う。このまま SS5 でやると、メ−ルの拒否が頻発する可能性がある。それで Sun のマシ ンを買うことにする。できれば前に買った Blade 2500 にしたかったが、もう販売は終了 していた。候補としては Solaris 9 が載るマシンにしたい。SunのOSは Solaris 10 が 最新で、販売しているマシンは Solaris 10 対応が多い。別に Solaris 10 でもいいと思 ったが、聞くところによると Solaris 10 はこれまでの SolarisのOSとは少し趣が違う らしい。Linux を意識して cron や inetdを管理するデ−モンがある?。ともかくまた少 し勉強しないといけない。1Uの Sun Fire T1000,T2000 は超うるさいらしい。縦置きの Sun Ultra 25,45 が Solaris 9 が載る。製品ガイドを見ると、音も静かと書いてあった。 実機を確認するまでもないか。Ultra 45 が Blade 2500 の後継として比較されていた。 マシンは Ultra 45 にするとしよう。メモリは 1 GB 増設して 2 GBに。ディスクは SATA 1台は使わずに、SAS 2台でミラ−にする。sendmail の Greet Pause の設定などSI業 者さんと一緒に作業することにする。お値段はざくっと100万円ってところ。CPU が何 とかはこだわらない。Gigabit Ethernet ポ−ト2個標準搭載。サイズは 445Hx205Wx570D。 因み Blade 2500 は485Hx210Wx480D。Ultra 45は奥行きが結構ある。ディスクのこと。パ ソコンの IDE ディスクは SATA(Serial ATA)に取って変わってきている。かつてのEWS で使われていた SCSI ディスクは SAS(Serial Attached SCSI) に変わってきている。IDE は ATA とも言う、1日8時間程度の稼働を想定している。IDEはそもそも無停止のサ−バ 用途には向いていない。モニタはどうするか。ATEN 社製のモニタ切替器で Blade 2500と 共用するようにするか。あるいは新しく買うか。ちょっと検討しなければいけない。 設置作業をSI業者の10年来つきあいのあるエンジニアにやってもらった。最新の知見 も反映した設定をしてくれた。 とりあえずフリ−の定番ソフト gcc, make, db, libconv。 それにsendmail-8.14.1, BIND 9.4.1-P1, BerkeleyDB.4.2などインスト−ルして、あらか じめ全部設定して納入しれくれた。当日は設定の確認を二人で行なった。BerkeleyDB.4.2 は Solaris 2.6 で sendmail-8.13.8 をコンパイルした際に必要だったので、とりあえず 入れてもらった。DNS制御ファイルは現状のを元に named.conf に key "rndc-key" {}, controls {} を追加してきた。これは何なのか勉強しないと。当日、予備のWAN回線の 方にマシンのIPアドレスをかえて、メ−ルが外に行くか確認した。後日、一人で予備の Mail-Store とも組み合わせメ−ル中継の確認も行った。社内ネットワ−クからは SSH ア クセス。UPSは APC PowerChute SUA750RMJ1UB を使用する設定も自前でした。`27/10 (3) IIJ のメ−ルサ−ビスについて -------------------------------------------------------------------------------- メ−ルサ−バの自社運用からアウトソ−シングへの転換のタイミングを、これまでずっと みてきた。どうやらその時期がきたようである。慌てずとも、自然にそういう気運がでて きた。先ずはメ−ルリレ−機能を外に出すこと。次がメ−ルストアという順番である。 -------------------------------------------------------------------------------- * "IIJ Mail ゲ−トウェイサ−ビス" 利用での検討 これは先ず、基本はメ−ルリレ−のサ−ビスである。加えて [1]ウィルスプロテクション、 [2]メ−ル監査、[3]迷惑メ−ルフィルタのサ−ビスを付加することができる。メ−ルリレ −のホストは外部ならどこにあってもよい。自分とこのパブリックIPアドレスでないと ダメということはない。つまりメ−ルリレ−は外部委託できる。利用料は2004年秋の 「iij.news」掲載のから変わっていない。 ともかくこのサ−ビスで、クリ−ンなメ−ルだ けを受けるようにできそうである。 ウィルスプロテクション(250円)と迷惑メ−ルフィルタ(200円)を利用するとする。基本の 月額5万円+450円x350 =5万円+157,500= 207,500円/月。1年だと 249万円。迷惑 メ−ルフィルタだけだと12万円/月、年144万円。メ−ルサイズ最大 100MB、サイズ 変更はできない。利用に先立って、全員のメ−ルアドレスやアカウントを IIJ側のサ−バ に登録しなければならない、専用のWeb画面がある。メ−ルストアでもアカウント登録 がいる、これは二度手間だ。ウィルスプロテクションは InterScan VirusWallを使用。 メ−ルア−カイブオプション機能 2006/02/28 から。専用のWeb画面からメ−ルの検索、 閲覧、ダウンロ−ド、削除ができる。一定量を超えると自動的に警告メ−ルが送られ、ユ −ザは自分で不要なメ−ルを日付けなどで一括削除できる。料金は応相談だが、雑誌に料 金がちょっと載っていた、毎月基本料金 最大 10 GB で40万円。追加 10GB ごとに20 万円。初期費用は無料。送受信のメ−ル全てを保存する、情報漏洩事故の際の追跡調査や 監査の強化にという宣伝文句だ。 迷惑メ−ルフィルタはメ−ルのヘッダに度合を追記する。各ユ−ザのパソコンのメ−ルソ フトで振り分けをする、Outlook Express はだめとか。もう一つご相談のメニュ−があり、 クリ−ンなメ−ルだけメ−ルストアへ送るサ−ビス。迷惑メ−ルは一応、IIJ 側のサ−バ に保存されWebでユ−ザが各自で確認ができるようになっている。メ−ルの内容も見る ことができる。非常に優れたサ−ビスである。アカウント登録は必要である。迷惑メ−ル フィルタはアメリカ MX Logic 社のエンジンを利用している。 質問。メ−ルのリレ−だけのサ−ビスはあるか。迷惑メ−ルフィルタは限られた人だけで きるか。メ−ルア−カイブオプションも限られた人だけできるか。いずれもNO。全員や るかやらないかの選択である。ア−カイブは自動で古い順から削除はできるのか。迷惑メ −ル、ウィルス入りメ−ルもア−カイブされるのか。SOX法で全員のメ−ルを保存せな いかんという噂があるが、明らかに行き過ぎの対応であり、多分そんな必要はない。 * "IIJ Mail ゲ−トウェイサ−ビス" の元々 当初 2002/03 より千人規模のメ−ルを対象にサ−ビスが開始された。 ウィルスプロテク ションとメ−ル監査、初期30万円、毎月40万円。2002年11月ぐらいに中小企業 を対象にしたメニュ−もできた。初期10万円、毎月基本料金が3万円、51〜250 アカウ ントの場合1アカウント300円。メ−ルを IIJ のメ−ルサ−バで受信して、 ウィルス チェックして自社のメ−ルサ−バに転送する。この "IIJ Mail ゲ−トウェイサ−ビス"は メ−ルサ−バは自社で運用することを前提としたサ−ビスである。計算すると毎月の費用 は結構かかる。以下はウィルスチェックだけ、250アカウントの場合である。 30,000 + 250x300 = 30,000 + 125,000 = 155,000 円/月。1年では186万円。 メ−ル監査は毎月固定分が4万円、51〜250 で1アカウント350円。ウィルスチェック と監査の両方だと毎月5万円で、1アカウントの料金はそれぞれ足した分で550円にな る。メ−ル監査は Guardian Wall を使用、 これで社外へのメ−ルをキ−ワ−ド検索して 社外秘の文書などの流出を防止する。"IIJ Mail ゲ−トウェイサ−ビス" を利用するには DNS の MXレコ−ドを IIJ の指定メ−ルサ−バにする。DNS のサ−バは別に自社運営ので もよい、IIJ のを利用うんぬんは関係なし。メ−ルの送受信は最大 10 Mbyte である。 * IIJ の迷惑メ−ルフィルタ−のお試し "IIJ スパムフィルタ・トライアルプログラム"、これでどれ位フィルタリングしてくれる か、事前に確かめることができる。メ−ルの件名と本文のフィルタリングである。適当な 社内でのメ−ルアドレス、迷惑メ−ルが一杯来るメ−ルアドレスがテスト用に必要である。 info@nix.co.jj なんてアドレスは、どこの企業でも迷惑メ−ルの標的になっている。 テストの仕組み。katou@nix.co.jj 宛にきたメ−ルを Mail-Store で heno1@iij.ad.jjへ 転送する。そこでフィルタリングする、そして katou2@nix.co.jj へ送る。ダイレクトに 受け取った katou 宛のメ−ルは迷惑一杯のメ−ル、katou2 宛にはまともなメ−ルだけと いうこと。どれだけフィルタリングできたかこれで分かる。 テストにあたっては IIJの契約書がある。テストのサ−ビスの期間は2006年8月1日 から2007年3月31日まで。3つのメ−ルアドレスまでテストできる。珍しく簡単な 申込書だ。IIJ のサ−ビスの通常の申込書は一杯、住所やら名前やら記入して社印もばっ ちり押さないけない。確認用のメ−ルアドレスは1個か2個である。 * IIJ のサ−ビスを利用した構成−その1 << メ−ルリレ− + メ−ルボックス >> "IIJセキュアMXサ−ビス" を利用する。2006/10/12 にサ−ビス開始された。 メ−ルの運 用はプロに任せる時代。メ−ルセキュリティに「危機管理」という発想。迷惑メ−ルとウ ィルス入りメ−ルをフィルタ−はもちろん、今後メ−ルに求められることはほとんど網羅 されている。送信ドメイン認証、暗号化、配送保留、メ−ル保管など対応。`27/03/01 に はメ−ルボックスのサ−ビスがオプション追加された。これで自社内のメ−ルサ−バに中 継する必要はなくなる。メ−ルの完全ASPサ−ビスができあがった。ここにユ−ザはメ −ルを取りに行き、メ−ルを出す。一通のメ−ルサイズは 100MB。これでようやく安心で きるメ−ルのアウトソ−シング先ができた。費用は個別見積りである。「日経コミュニケ −ション」2007/04/15 を見たら、見開きにど−んと "IIJセキュアMXサ−ビス" が紹介さ れていた。ともかく "IIJ Mail ゲ−トウェイサ−ビス" の後に出て来たサ−ビスである。 メ−ルボックスオプションの内容。メ−ル転送5ヵ所まで、メ−ル送信時のSMTP認証、暗 号化 POP/SMTP over SSL対応、接続元IPアドレスによるアクセス制限、MailViewer簡易 Webメ−ル機能。メ−ルボックスも利用することにすれば、社内用のメ−ルストアは必 要なくなる。社内のユ−ザ同士のメ−ルも IIJのメ−ルサ−バを経由する。これによりメ −ルストアに入れてある InterScan も必要なくなる。 残るはDNS、ファイアウォ−ル、 侵入防御装置、これらも IIJにもメニュ−がある。もしWWWサ−バもまだ社内にあるの なら IIJ のサ−ビスでもいいが、他の会社のホスティングなどでもいいだろう。 プロキ シサ−バは BlueCoat 社の適当なのを入れて置けばいい。ほとんどメンテナンス・フリ− だし、まず壊れることもない。そう考えればファイアウォ−ルと侵入防御装置もまだ自前 で運用してもいいかも知れない。DNSについてはもう少し考えたいところだ。 * IIJ のサ−ビスを利用した構成−その2 << メ−ルリレ−のみ利用 >> その1の前に考えた構成である。メ−ルリレ−に"IIJセキュアMX サ−ビス" または "IIJ Mail ゲ−トウェイサ−ビス"を利用するが。メ−ルストアはこれまで通りというパタ−ン。 これでいいのでないかと最初思ったが、迷惑メ−ルに取り組んで行く内、Mail-Relay機能 だけ外に出せばいいというものではないと考えが変わった。バウンスメ−ルなど不可解な 動きをするメ−ルも対処していかなければならない。メ−ルストアでのウィルスチェック の InterScan、侵入防御装置の DefensePro、そして FireWall-1。これらのソフトや装置 とメ−ルの動きは関係している。メ−ルリレ−とメ−ルストアの間で、メ−ルがどうなっ て行くのか、きちんとトレ−スすることができなければダメだということである。結局メ −ルサ−バシステムとして信頼がおけるサ−ビスを利用すること。そうなると、できる会 社は自然と限られる。費用は月に100万円はかかるとみた方がいいだろう。 それが嫌ならポップアップで xxx@nifty.comとするか、これが一番安い。出入りのまま大 きい商社の人の名刺には、ニフティのメ−ルアドレスが書いてあった。それも嫌なら、ポ ップアップで独自ドメイン名のサ−ビスを利用することだ。 さて侵入防御は DefensePro をやめて、IIJマネ−ジドIPSサ−ビスを使う。2006/07開始。2年間の契約。装置はレ ンタル、24時間運用監視サ−ビス含む。例えば Proventia GX4002-C 1U、200Mbps 以 下、1セグメントのみ監視。これで月40万円弱、初期費用は100万円弱。上位タイプ だと4セグメントまで見れる。DefenseProと同様のインライン型の設置。ファイアウォ− ルは FireWall-1 単体利用で月31.1万円、ホットスタンバイまたは2台クラスタだと55.1 万円。タイプAでノ−ド数無制限。NetScreen-50 にすれば月9万円、 ホットスタンバイ にするならプラス 6.5万円。そしてメ−ルストアもお願いするなら、下記のがでてきた。 * メ−ルストアのマシンも出してきた IIJ が調整した社内用のメ−ルサ−バの販売である。社内の既存のメ−ルストアの置き換 えということになる。1台5百万円、2台によるクラスタ構成は1千万円。2006/11 時点 ではまだ始まっていない。2006/12 IIJ のセミナ−で予告アナウンスをしていた。iiMail という。例えば500ユ−ザで初期導入費用5百万円、保守が年57万円。クラスタ構成 では1200万円弱、保守は年130万円である。マシンは HP ProLiant DL 360G4, Red Hat Enterprise Linux。クラスタのソフトは Lifekeeper for Linux を使用、メ−ルボッ クスのディスクは外付けで本体2台が共有する。ユ−ザのアカウント管理に LDAP サ−バ を利用する。ただし LDAP はこのマシンの中だけの利用である。汎用的にその会社のユ− ザ管理サ−バとしては使えない。2007/03 販売開始。しかし"IIJセキュアMXサ−ビス" と メ−ルボックスのオプションがでてきて、このサ−バの位置付けはどうなるのか。 (4) メ−ルリレ−をアプライアンスに `27/05 * 改めて調べたら結構出ていた 2007年2月の NET&COMでもらったパンフレットによれば、アプライアンス製品は10 位あるのでないか。こうした製品は何をやっているのか、ちゃんと知っておかないとおか しなことになりかねない。デフォルトで MXレコ−ドの DNS の逆引きとその一致チェック をしていたり、グレイリスティングをやっていたりする。spamかどうかの判断も、ダ ウンロ−ドした判定用のパタ−ンファイルを使う、spamを判定するセンタ−に問い合 わせる。などいろいろな方法が採られている。またメ−ルリレ−の機能を持った製品、メ −ルリレ−機能なしのインライン型の製品などもある。DoS 対策でメ−ルを拒否する機能 もだいたいの製品に備わっている、しかしへたすると肝心なメ−ルが拒否され再送される ということになると、メ−ルのほぼ即時到達性がなくなってしまう。DoS 対策はメ−ルの 量が多くなった際、一律に対象とするのではなく、対象を限定する機能が必要である。 [1] [2] [3] [4] MR:Mail-Relay ------------ --------- ↓ ------ ◆MR ------- ◆MR MS:Mail-Store | ■MR兼AP |MR◆←■AP | | | | AP:Appliance | | | | | □------ □------- 〓:Layer4 Switch □------- □--------- | | AP | ●MS | ●MS AP■ ●MS 〓--■ ●MS | | | | | | | | ------------ ------------- ----------- ------------- [1] Barracuda Spam FireWall, RazorGate, IronMail, InterScan, マトリックスキャン [2] Barracuda Spam FireWall, GUARDIANBOX SpamFilter [3] GUARDIANBOX SpamFilter, マトリックスキャン [4] マトリックスキャン ※[3]はインライン型とかブリッジ型と言う。これを透過型と称するカタログもある。 ※本書では[4]を透過型という。ステルスモ−ド、型と言う場合もあるみたいである。 * トレンドマイクロ社の製品 InterScan Messaging Security Suite 7.0、4年振りの大きなバ−ジョンアップ。有償オ プションとしてspamメ−ル対策機能が入った。Spam Prevention Solution(SPS) とい う。別なプログラムのようだが、ライセンスコ−ドにより使えるようになる?。このバ− ジョンからはシリアル番号ではなく、アクティベ−ションコ−ドというのに変わった。内 はメ−ルストアに InterScanを使っているので、コ−ドの通知がきた。それで、もう十分 spam対策はできているのか?、SPS自体は 2003/03 に始まっていた。今回は機能強化 である。Windows と Linux 用が 2007/03 頃出荷。Solaris 用は 2007/07 以降に出荷。 構成例としては内部メ−ルサ−バ(Mail-Store) に InterScan でウィルスチェック、外部 メ−ルサ−バ(Mail-Relay) に SPS を入れる、SPSを利用するには InterScan も入れる必 要がある。SPS が外からメ−ルを受け MTA に渡して MS へ。SPS は NRS+IP Profiler+コ ンテンツフィルタリングからなる。NRS( Network Reputation Service ) がspam対策 の要で2003年からある。メ−ル発信元IPアドレスのレピュテ−ション・サ−ビスである。 トレンドマイクロが独自にspam発信源を収集、作成しているブラックリスト。怪しい メ−ルかどうかを、トレンドマイクロのセンタ−に DNS の仕組みで問い合わせる。 NRS の QILを見るのはオフにした方がいいかも。企業なんかの中のパソコンがボットに感 染してしまい、spamを発信すると、その組織の代表IPアドレスが、ブラックリスト に登録されてしまうことになる。十分に有り得る。このリストは見ないようにするという こと。IP Profiler ではバウンスメ−ルアタックやDHA( Directory Harvesting Attack )、 メ−ルアドレスの収集の対策、社内に存在しないメ−ルアドレスにエラ−メ−ルを返さな いようにする。IP Profiler はメ−ルリレ−でメ−ルの Proxyとして働く、これまできた spamメ−ルから情報を保持していて、窓際でspamを弾く。結構重要な働きをする。 本体での対策は IntelliTrap 技術によりボットウィルス対策、スパイウェア対策。SPSの コンテンツフィルタリングでは日本語、画像spamに対応。バ−ジョン 7.0からスパム 対策専用の検索エンジン Trend Micro Anti-Spam Engine(TMASE) を実装した。 TMASE は LDAP 連携でユ−ザ毎に条件設定ができる、spam検出のレベルは中で 95% は弾くとの こと。spamだと判定されたメ−ルは隔離される。Webによるエンドユ−ザメ−ル隔 離ツ−ル EUQ で、各ユ−ザがチェックできる。これを利用するには LDAPか AD が必要で LDAP に登録のアカウントのメ−ルアドレスに応じて振り分けられる。 * アイマトリックス社の製品 マトリックススキャン、次世代メ−ルセキュリティソリュ−ションと唱う。透過型および SMTPゲ−トウェイ型設置。1U、Type-S 446Wx576Dx42H。Model-500で500ユ−ザ。200 か ら5000ユ−ザまでの標準モデル。写真を見ると本体はデルだ。国内で開発。MTA もOSも 自社開発のこと。メ−ルリレ−として設置。複数メ−ルリレ−を設置できる。MX10,20 と して装置を2台設置し、メ−ルストアはそのまま。これなかなかよさそうな気がする。そ れで一体なんぼ。500ユ−ザでオンサイト24時間保守、ざっと 120 万円、次の年からは 50万円。ウィルスチェックもやるならそれなりの金額、80万円ぐらい?いる。 spamメ−ルは文字、キ−ワ−ドを見て判定しているのではない、振る舞いをみて判定 しているとのこと。これまで来たspamはロ−カルDBで判定、新しいのはシグネチャ に変換して、スパム検出センタ−に問い合わせをして判定する。そしてロ−カルDBにも 反映する。イスラエルの Commtouch 社の RPD でがスパムメ−ルを解析、デ−タベ−ス化 している。RPD( Recurrent Pattern Detection )は特許が取得されている。spamは隔 離フォルダに一時格納され、各ユ−ザが確認できる。コンテンツベ−スのフィルタ−では ない。ベイジアンでも結局のところコンテンツベ−スには違いない。 フィッシング、詐欺メ−ルも検知。ウィルス検出はオプションで、ウィルスチェックはロ シアの Kaspersky Labs Japan のを使用し、未知のウィルスも検出する。メ−ルトラフィ ックの制御は、SMTPセッッションの最大数を設定できる、受信メ−ルの廃棄または送信を 一定時間遅らせる。故障した場合は装置をスル−するようになっている。2005/01 頃ライ ンナップが揃ったもよう。http://www.imatrix.co.jp/、2006/10からホ−ムペ−ジが更新 されていないのが少し気になる。(株)日立情報システムズなど扱い。音はやはり結構する。 マトリックススキャンは KDDI のプロバイダサ−ビスである DION で採用、2006/01 から 迷惑メ−ルフィルタ−を無料提供。迷惑メ−ル専用フォルダに自動的に振り分ける。タイ トルに "meiwaku"と付ける。余談:この製品は、今回調べるまで全然知らなかった。会社 のある近辺でも既に2、3導入事例があるようである。ネ−、どうやって知ったのだろう か。こうしたアプライアンスもんは、導入するのは結構勇気がいる話である。なかなかデ ファクトでこれだという製品、ソリュ−ションはないということか。 * ミラポイント社の製品は ミラポイント社のアプライアンスも分かりにくい。これまでミラポイントの製品は数千人 相手の製品だったのが、数百名用の製品もでてきた。メ−ルストアの Mirapoint Massage Server M50、2005/12 発表。50〜500 名の中小企業対象用の1Uアプライアンス。個人情 報保護などから自社でメ−ルそしてサ−バを管理したいという要望に応えた。よっぽど信 頼のおけるアウトソ−シング先でないと、へたにお任せはできないということ。Webメ −ルの Webmail Corporate Edition、 スケジュ−ル管理の GroupCal Corporate Edition。 LDAP 対応。Mirapoint Directory Server 2Uがある、対規模ユ−ザ向けのようだ。 メ−ルリレ−の RazorGate 100、1Uアプライアンス。2004/09 から販売。メ−ルストア は他社製品でも可能。処理は"MailHurdle -> Sophos Anti-Virus -> Rapid Anti-Spam -> コンテンツフィルタリング"。MailHurdle技術は Greylisting 機能、市販製品で初めて搭 載されたとのこと。迷惑メ−ルの80%を除去。最初の SMTP 接続には 200 ではなく450 を返し、相手に再送を促す。Rapid Anti-Spam はスパムの判定を、ミラポイントのセンタ −に問い合わせる。おかしなメ−ルは隔離、各ユ−ザがチェックできる。SOX法対応で メ−ルア−カイブの Compliance Vault 1Uもでてきた、Massage Server の下に設置。 迷惑メ−ルアプライアンスとしての RazorGate、Mail-Relay の置き換えになる。 これに 迷惑メ−ルを隔離するか、 Mail-Store としての M-Series に転送してここに隔離するか。 日本語画面になっている模様。隔離したお知らせメ−ルはRazorGateから出る。RazorGate にユ−ザのアカウントを全部登録すれば、 POP3 のアカウントとは別になるが各自がメ− ルを見に行くことはできる。LDAP または Active Directory があれば、POP3 とメ−ル隔 離のアカウントを一緒にできる。ミラポイントの方でアカウントを変更したら LDAP にも 反映できるとか、本当にできるのか要チェック。 RazorGate はメ−ルを隔離しないのなら RG160、隔離するのなら RG600。RG160 は1つの ディスク、RG600 はミラ−ディスク。RG600 にはテ−プドライブを付けてバックアップを 取ることができる。M-Series は M50 か M600 がある、どちらも1U、M600を利用すると ころが多いとか。M-Series には Webmail の機能がある。 LDAP サ−バは予備とで2台設 置を推奨。LDAP サ−バのアカウント制御ソフトは別なサ−バで動かすのを推奨、 Web ベ−スだろうけど。500とか千ユ−ザ向けの装置がでてきたのは3年ぐらい前。それま では大規模ユ−ザ向けの装置しかなかった。大学に導入のケ−スが多い模様。 * その他アプライアンス IronPort C150 `27/01 に Cisco 社に買収された。 > Mail-Relay の置き換えとして設置。細かな設定が日本語画面でできる。sendmail.cfに 一杯ある設定項目がそのままGUIでできるようなもの。導入したところの話だと、迷 惑メ−ルはチェックを緩めにしてもまま誤検知があるという。迷惑メ−ルは装置内に隔 離できる。隔離するだけのために LDAP か AD がいる。しかしLDAPは IronPort のユ− ザのアカウント管理には使えない。LDAPがあると社内のメ−ルアドレスの存在をチェッ クできる、基本的には毎度尋ねにいくが、しばらくは装置がキャッシュをもつことがで きる。1U、500ユ−ザで240万円前後、`28/03時点キャンペ−ンで約100万円。 GUARDIANBOX SpamFilter 500 > キャノンシステムソリュ−ションズ社。本体84万円、次年度保守はオンサイト24時間 52万円。Anti-Virus 追加 500ユ−ザライセンス 16万円/年。2006/02発売。1U、512 MBメモリ、73GB SCSI HDDx1。コネクションごとのメッセ−ジ数、 一定時間内に受信可 能なメッセ−ジ数および接続数、内部メ−ルサ−バへ中継するメッセ−ジ数を制御する。 SMTP Greeting Delay 機能あり。隔離されたスパムを閲覧、再配信ができる。メ−ルの 総数、スパムの数をグラフ表示する。このメ−カ、他にいろいろ製品あり。 MXtreme メ−ルファイアウォ−ル > NTTがかついでいるアプライアンス。スパムやウィルスからメ−ルを防御する。スパ ムはオブジェクティブ・フィルタとサブジェクティブ・フィルタで防御。ペンタゴンな どが要求するセキュリティレベルを満たす Common Criteria EAL4+ 認定取得。 MX-200 250ユ−ザまで、1時間当たり 15000 メッセ−ジを処理。MX-400 1500ユ−ザま で、1時間当たり 25000メッセ−ジを処理。両者1U、メ−ルサ−バとして利用できる。 NTTアドバンステクノロジ(株)扱い。`27/11 の名古屋でのNTTの展示会にて見た。 IronMail Messaging Gateway Security > 1U。フォ−チュン500社の30%が導入。冗長電源装置、RAID-5、スパム対策、ウ ィルス対策。パンフレット1枚を 2007 NET&COM でもらっていた。雑誌などところどこ ろで見かける。相手も IronMail を導入していれば、メ−ルを暗号化できる?。TLS や S/MIME や OpenPGP。http://www.securecomputing.co.jp/。以下その他手元にあったパ ンフレットは MIMEsweeper Email Appliance で http://www.dats.co.jp/、Proofpoint Messaging Security Gateway で http://www.clearswift.co.jp/、SPAMBlock とか。 McAfee Secure Content Management(SCM) Appliance 4.0 `27/05 のセミナ−資料から > 1台でメ−ルとWebセキュリティを対策する Secure Internet Gateway(SIG)、 負荷 の高い所向けのメ−ル専用とWeb専用の3種類の製品があり、SCM4.0ブランドと言っ ている。筐体はデルだそうだ。 従来の WebShiled Appliance 3.0 の機能と性能をアッ プさせた製品。メ−ル専用の Secure Messaging Gateway は 3300 が推奨最大ノ−ド数 4000。Web専用の Secure Web Gateway は 3300 が推奨最大ノ−ド数 5000。SIGには 3100 と 3200 のモデルがある。製品が色々あり正直いって頭が混乱した。 SPAM WATCHER モデル200 `28/06/09 説明を聞いた > 1Uアプライアンス、標準価格120万円、推奨アカウント数50。メモリ1G、メ−ル処 理性能1日百万通。プロキシモ−ドとブリッジモ−ドあり。ブリッジモ−ドはネットワ −ク的に何も変更なし。韓国Terrace Techonologies 社製。スパム、ウィルス、フィッ シングメ−ル、SMTP/DoSアタック、送信ドメイン認証。Bypass Card でハ−ドウェア障 害が起きてもメ−ル転送可。メ−ルの装置内での隔離。隔離の日本語のお知らせメ−ル で各自がWeb画面で確認ができる。LDAP や ADは使わないみたい。設置は簡単な感じ。 (5) これからのメ−ルシステムの構築 * 見直しの背景にあるもの [ 法律的なこと ] ウィルスチェックやspam対策、退職者のメ−ルアカウントの速やかな消去など、最低 限のことをやっていないと、今後は注意義務違反に問われるかも知れない。メ−ルの保存 は一般企業ではまだ義務付けられてはいないが、考えておいた方がいいだろう。しかし日 本の法律は一体どうなっているんだ。電車で痴漢だと言われるだけで、豚箱行き。他なん ぼでも悪いことやっている輩がいるのに対応する法律がないということで、野放し状態だ。 話戻してもうメ−ルは麻痺している。悪の巣窟でフォレンジック/密告/監視だと言って どうなるというのか。通信手段としてメ−ルに過渡に依存するのは考えもんである。 [ メ−ル暗号化 ] アメリカでのSOX法の状況は、他の国々の状況はどうか。ヨ−ロッパ諸国にアジア各国。 SOX法に基づいてメ−ルは暗号化されていなけばならないという話も出てきている。国 内ではほとんど暗号化メ−ルは普及してない。S/MIMEの暗号化は銀行で一部使われ始めて いる。S/MIME は外向けメ−ルサ−バでメ−ルをTLS暗号化する?。いやそうでなくて、相 手メ−ルサ−バも暗号化対応していれば、両者メ−ルサ−バで相談して暗号化する。して なければそのままプレ−ンで送る。証明書はどうなるか、ベリサインから取得するのかな。 [ メ−ルを残す ] 経理部門などSOX法に関係する人のメ−ルを保存する。メ−ルそのものは現状 POP3 で はサ−バに保存するのはちょっと工夫がいる。基本的には IMAP4 か WebMail にするしか ない。実際のところメ−ルを全部残せというのは無理だろう。会計に関係する経理なんか で、メ−ルを残しておくというル−ルを作りましたで由とするしかないのでないか。その ため、経理なんかのパソコンのメ−ルソフトでは、メ−ルを残す設定をするか、メ−ルス トアのホストの /etc/aliases でメ−ル保存用にエントリを作る。 * 迷惑メ−ル対策のポリシ− 迷惑メ−ル対策は各自のパソコンのメ−ルソフトなど、各自で鍛えるようなことはしない。 そんなめんどくさいことは実際やれない、やったとしても長続きはしない。InterScan の eManager でやれることを先ずやってみる。 ともかく今、何か設定しなくても InterScan の機能としてすぐに使える。キ−ワ−ドを登録する。ただし Mail-Store の負荷を見なが らということになる。eManager はマシンに負荷がとてもかかるらしい。 ↓ もう一つ注意すべきは、誤検知のチェックについてである。 eManager のログを毎日見て 誤検知がないかチェックしなければならない。誤検知したのは隔離領域に退避されている ので、メニュ−から改めて送信する。これは管理者が行なうしかなく、管理者の負担はど んどん増していく。キ−ワ−ドをどんどん追加すると、誤検知は増えていく。マシンの負 荷も増えていく。InterScan eManager はそこそこの利用にとどめるべきである。 ↓ 次に sendmailに Greet Pause の設定をしてみる。これで最低でも2割、うまく行けば8 割ぐらい弾くことができるかも。副作用は他の方法に較べ少ない。少ないではなくて、仕 組み的には副作用はない。キ−ワ−ドフィルタ−ではないので誤検知はない。問題が起こ るとしたら、ちゃんとメ−ルの RFC に載っていないメ−ルソフトの場合である。 しかし 今、稼働中の SS5 では性能的に無理、新しい Sun のマシンを用意しなければだめだ。 ↓ そして最後の手段で Mail-Relay を IIJにして、迷惑メ−ルをフィルタリングしてもらう。 ウィルスも弾いてもらう。何といっても経費がかかる、毎月数十万円。5年間で1500 万円ぐらいかかることになる。でもこれでクリ−ンなメ−ルを受け取ることができる。ま た各自が検知された迷惑メ−ルを見ることができる。管理者の手間はこれで省くことがで きる。どこのサ−ビスでも各自がチェックできる、これは必須である。 ↓ Mail-Relay を外に出す、多分これだけでは終わらない。 メ−ルシステムとしてみるとフ ァイアウォ−ル、侵入防御装置も関わってくる。まだ社内に Mail-Store もある。ダブル バンウスメ−ルのようなのは、Mail-Relayだけ見ていては分からない。結局メ−ルサ−バ を面倒見てもらうということは、関係するサ−バも全部、包括的にめんどうみてもらわな いと駄目だということである。すると費用は月に100万円位かかることになる。 * 新しいメ−ルシステムの構築 迷惑メ−ル対策をやるということで、新しいメ−ルシステムを構築する提案はしない。あ くまでも企業の通信インフラを安定して運用するという観点で行なうこととする。迷惑メ −ル対策うんぬんでやると、ではどれだけ迷惑メ−ルが来てどれだけ皆が迷惑しているの か。それを先ずは出せということになる。迷惑の指数なんてのはどこにもない。一杯迷惑 メ−ルが来ている人がいれば、まるでこない人もいる。アンケ−トを実施して現状がどう なっているか把握してもいいが、その結果、全体的に少ないからといって、対策を打たな いでいいということでもない。もうやるべきことはやらないといけないのである。考慮す べきことは多々ある。昨今、注目を集めているSOX法にも何がしか対処なり、準備なり して行かなければならない。しかしできるだけ製品、ソフトは増やしたくない。ネットワ −クが複雑化して、障害の切り分けがどんどん困難になる。ネットワ−ク管理者の負担は どんどん増していく。管理すべき対象は極力、減らして行く。今後の大きな課題である。 今回、2007年初めから半年程かけて現在のメ−ルを取り巻く様相を調べてみた。迷惑 メ−ルの対策もどうしたらいいか、ほぼめどはついた。とりあえずまだ自力でメ−ルサ− バのお守はやれそうな気がする。メ−ルサ−バ周りの最近のいろんなキ−ワ−ドも何とか 理解することはできた。DKIM とか SPF とかバウンスメ−ルとか。それぞれ、個々に対応 していくことは可能だと思う。しかしメ−ルシステムということを総合的に考えると、や はり企業の一担当として、今後もずっとやって行けるものではない。IIJ のセミナ−でも 話があったが、餅は餅屋に任せてくれと。そして、これからのメ−ルは"内部統制の強化"、 "コンプライアンスへの対応"、"事業継続性の強化" に対応していかなければならないと 説明していた。以下、IIJ のセミナ−で出てきたキ−ワ−ドを書き並べておく。配送保留、 メ−ルア−カイブ、情報漏洩、宛先間違い、フィッシングメ−ル。 証拠能力と証明力(第 三者が保存している)、これはただ単にメ−ルを保存しておけばいいという話ではない。 * メ−ル送信のバックアップサ−バの設置−その1 「Software Design」2006/08, P.60 に出ていた記事のこと。トラブル時に送信するメ−ル の配送を切り替える。Postfix の fallback_relay パラメ−タを使う。2個目のプロバイ ダ経由でメ−ルを送信だけでもできるようにするという話。代理配送サ−バを設置し、通 常のメ−ルサ−バから代理メ−ルサ−バに転送して外に配送させる。代理メ−ルサ−バは 外からのメ−ルは受けることはできない。 代理サ−バは通常サ−バの Postfix からのメ −ルを中継するように設定しておく。通常の方のホストは MX レコ−ドにIPアドレスを 記載するが、代理の方のホストは記載しない。 この原理、Mail-Relay の予備ホストをテストで DMZ に設置した際、こういうことができ るのでないかと気付いた。予備の Mail-Relay から試しに外に向けてメ−ルを打ってみた。 個人のメ−ルアドレスで、会社にも転送するようにしてある。見事返ってきた。もう一本 の回線、内では IIJ 側に予備 Mail-Relay をおいても、同じくメ−ルは行った。 という ことは Mail-Store の中継先を本番から予備の Mail-Relay に変更すれば、メ−ルは外に 出すことができるということになる。注意すべは相手メ−ルサ−バがDNSの逆引きチェ ックをして拒否または廃棄をするようにしてたら、送り先の人にはメ−ルは届かない。 `2d/07 追記。「Software Design」2008/08, "特集 差がつく運用ノウハウ満載! 今どき Postfix 指南" の P.50〜52 の記事。メ−ル送信専用にフォ−ルバックサ−バを設置して smtp_fallback_relay パラメ−タ使用。主メ−ルリレ−と主回線それに副メ−ルリレ−と 副回線があって主回線がダウンした場合、主メ−ルリレ−は副メ−ルリレ−にメ−ル転送 して処置する。メ−ルの受信では MXレコ−ドのセカンダリ指定と relay_domains パラメ −タ使用、MXレコ−ドのプライマリのメ−ルサ−バが復帰したらセカンダリのメ−ルサ− バからプライマリの方へ溜まったメ−ルを配送する。復帰したらというのが味噌!。 * メ−ル送信のバックアップサ−バの設置−その2 sendmail-8.13.8 の sendmail.cf の READMEを見ていたら、それらしいオプションがあっ た、1),2),3) の内 2) だと思う。これが fallback でないのか。主を SMART_HOSTで定義 して副を FallbackSmarthost で定義するのでないか。これでひょっとすると、 メ−ルリ レ−のマシンをもう1台設置して、主のマシンが負荷が高くなっている場合に、もう1台 の方へメ−ルを誘導して、外にメ−ルを送ることができるかも。 sendmail-8.12.10 には 2) のオプションはなかった。これら日本語で説明している本、サイトはない。`27/06 /usr/lib/mail/cf/sendmail-tx.mc Mail-Store ------------------------------------------ |define(`SMART_HOST',`smtp:[192.168.2.1]') ※このように定義したのが 下記のように展開される。 /etc/mail/sendmail.cf -------------------------------- |# "Smart" relay host (may be null) |DSsmtp:[192.168.2.1] | | |# fallback MX host |#O FallbackMXhost=fall.back.host.net 1) confFALLBACK_MX |# fallback smart host |#O FallbackSmarthost=fall.back.host.net 2) confFALLBACK_SMARTHOST |# if we are the best MX host for a site, try it directly instead of config err |#O TryNullMXList=False 3) これは何なのか分からないが。 * 携帯電話ヘのメ−ル転送について Usermin でメ−ル転送の設定はできるが、ForwardMail のようなソフトも、これからもい るかも知れない。携帯電話にメ−ルを転送するには結構、限定したメ−ルだけしたい。例 えば jp ドメインだけ対象にして、他はばっさり切ってしまうとか。会社のパソコンには ばっさり切ってしまったのも、一応届く。だから携帯への転送は思いきって制限できるわ けで。メ−ルサ−バでばっさりやるわけにはいかない。 携帯電話ヘのメ−ル転送、メ−ル本文の加工とかする Windowsのメ−ル転送ソフトは、営 業部など利用する部門が管轄するものとする。大元で迷惑メ−ルを減らすが、それ以外で メ−ルを使い勝手よくしたいとか言うのは、利用者がやることである。こちらは関知しな い。まあ実際なかなかそういうわけにはいかないのだが。ソフトとしては FlexMessenger 200 ユ−ザ 29.8 万円や ForwardMail 100 アカウント版は 10,500 円とか。 携帯電話にメ−ル転送はしなくてもいいかも。SSL-VPN 装置の FirePass に携帯電話から アクセスする。メ−ルも携帯電話で読みやすく整形できるという。 現在利用中の A-Gate と一緒に FirePass も設置して、FirePassを使えばいいですよと利用者にアピ−ルできる。 A-Gate は2007年末に保守が切れる、これでスム−ズな移行が期待できる。 すぐにメ −ルが来るのがいいのか、見に行って来たのが分かるのがいいのか。問題はそこだ。 一応携帯電話に転送して、携帯電話会社の方でフィルタリングするのはどうか。一時、携 帯電話への迷惑メ−ルがすごかった。それで携帯電話会社はメ−ルのフィルタ−・サ−ビ スをしている。NTTドコモの販売員にどうしているか尋ねてみた。知り合いや取り引き 先など間違いないメ−ルアドレスを、フィルタ−に登録している。これでほとんど迷惑メ −ルは来ないとか。メ−ル本文を見ての判断はサ−ビスしてないとのこと。 どうもお盆明けから、Mail-Relayのメ−ルキュ−に携帯電話ヘ転送しているメ−ルが溜ま りがちになっている。docomo, ezweb 宛である。何時間かしてキュ−を見たら無くなって はいるのだが。Mail-Relay で少し混んでいると、sendmail が docomo などにコネクショ ンを張ったものの、処理が進まずに待たせる。送信終了まで10分位、待たせることもあ るかも知れない。それを docomo などはあまり待たずに切ってしまうのでないか。`27/08 * メ−ル関係いろいろメモ [ Mail-Relay でのメ−ルサイズの設定 ] 近くの大学の話ではメ−ルのサイズは 20MB、添付ファイル分にすれば 15MB位までにして いる所が多いようだ。内はこれまで 5MBで制限しているのだが、WANも速くしたことだ し 10 MB 位に上げてもいいのでないか。写真なんかを添付すると、5 MB までいいですよ と言っていても、だめな場合がある。画像ファイルの圧縮率は関係ない。メ−ルにする際 に ASCII 文字にエンコ−ドするので、でかくなってしまうのである。 メ−ルのメッセ− ジの中では、文章も添付写真やエクセルも関係ない。ASCII コ−ドの一つ文字列になる。 [ メ−ルソフトはメ−ル保存にはハテナ ] おかしなメ−ルのせいで、メ−ルソフトがおかしくなる可能性がある。 Netscape のメ− ルソフトで、メ−ルを圧縮したら、メ−ルが全部消えてしまった。これまで2回も起こっ た。Inbox を {フォルダを圧縮} していたのである。メ−ルは1つのファイルに保存され ている。かなり大きなファイルサイズになる。メ−ルの文字列の中におかしなのが入って いると、メ−ルソフトが誤ってファイル全部を消去したのだと思う。これはとても困る。 [ Mail-Relay の LDAPとの連携はどうか ] Mail-Relay の MTA で、社内に受信者がいるかどうか LDAP の情報を使って調べる。そこ で居ないとなれば迷惑メ−ルと判断する。Mail-Relay は通常は Mail-Storeへ中継するだ けである。Mail-Storeに来て始めて、社内に存在しないメ−ルアドレスだと分かる。バウ ンスメ−ルをあらかじめ弾くという点では有難いが、どうしたものか。ダブルバウンスメ −ルは sendmail.cf の設定で弾くことができる。"User Unknown" でスプ−ルに溜まって いるのを定期的に消去することで対応とする、この程度でいいのでないか。 [ フィッシングメ−ルへの予防になるか ] ある時期、たくさんのドメインをとるのがはやった。今やこれらのドメインは危険だ。否 反対にきちんと管理ができるなら、可能性のあるドメインはとっておいたほうがいい。と るだけとって放置しておくと、その企業の正規なサイトになりすまして、偽造されるかも しれない。www.nix.co.jj を主として、 似たような www.nix.con はアクセスしてきたら www.nix.co.jj にリダイレクトさせる。偽のサイトに誘導するとき、ブラウザにURLが IPアドレスで出たら怪しいと思うけど、www.nix.con と出たら怪しまないと思う。 [ 当たり前だがユ−ザのパスワ−ド管理 ] メ−ルのアカウント、Usermin の利用はパスワ−ドが異なっていること。もし皆、同じだ とするとメ−ル転送を勝手に設定して、人のメ−ルを読むことができてしまう。IIJ ので もやはり同じことがいえるか。IIJ にあるメ−ルリレ−、ここではメ−ル転送の設定はで きないと思うが、自分宛のメ−ルを配送するかしないか、ウィルスチェックをするかしな いかの設定はできる。これらを勝手に変更されては困る。ましてや管理サ−バのIPアド レスが知られれば、自社以外の人にアクセスを許してしまうことになりかねない。 [ スパム対策組織にDDoS攻撃 `27/06/09 ] 著名な Spamhaus、SpamAssassin 向けのル−ルを提供しているサイトが攻撃を受けている。 スパムの検出に、インタ−ネット上の対策組織の情報にアクセスして判定してもらうやり 方の場合、情報提供サイトにアクセスができなくなったら。スパムを弾くことができなく なってしまう。外部サ−ビスと連携した仕組みの弱点である。ロ−カルでこれまでの情報 は持つというのは、ボリュ−ムからして難しいだろう。パタ−ンファイルなら最新のスパ ムを見つけられないだけだろうが。2日ぐらい前、似たような攻撃のことが新聞に出てい た気がする。なんだったかな。来るべきものがやってきたバイと思ったのだが。 [ メ−ルストアにアカウント無しで送信 ] `2e/10 外から server1@nix.co.jj へ来るメ−ルがあって、 それをメ−ルストアでエイリアスで 社内の人にメ−ル転送する設定。server1@nix.co.jj ではメ−ルは受け取らなくて。この 場合にもメ−ルストアにはユ−ザのアカウント登録はしてなくてもかまわない。これはメ −ル受信の場合である。ユ−ザ登録なしでもこうしてメ−ルを捌く設定は、ずっとやって きたことだが、改めて認識しておいたいことである。これを書いているのは2014年の ことだが、社内のパソコンでない機械から外へメ−ルを送るというのが増えてきた。この 場合メ−ルストア SMTP のIPアドレスさえ指定すれば、どこへでも送れてしまう。 * メ−ルア−カイブ装置 透過やインライン型で装置を設置して、パケットをキャプチャしてメ−ルだけ取り出す製 品がでてきた。2007 NET&COM で幾つかみた。 これでメ−ルのア−カイブを作るのだそう だ。SOX法対応製品という触れ込み。パケットブラックホ−ルから端を発したのが、い ろんな展開をみせている。なるほどねというか便利だねというか。透過やインライン型だ から既存のメ−ルサ−バの構成は変更しなくてもいい。管理用のIPアドレスはいるけど。 Postfix なら設定で送受信メ−ルを全部コピ−を取ることができる。「Software Design」 2008/08, P.58〜59,"特集 差がつく運用ノウハウ満載! 今どき Postfix 指南" の記事に 書いてあった。内部統制用でメ−ルのア−カイブを取る。ただし取るだけなので、もし閲 覧したいのならそれはまた考えないと。暗号化されたメ−ルはそのまま保存されるし。 メ−ルタンク > (株)コネクタス。インライン型で設置。1U 425Wx44Hx385D Linux。メ−ルを保存、閲 覧、各パソコンの Outlook に復元。開発は国内らしい。POP3, SMTP 対応。IMAP対応の メ−ルソフト Outlook Express などでメ−ルを検索、閲覧ができる。 メ−ルタンクR はメ−ルタンクに付加機能がついたもの、メ−ル利用状況分析表示、危険なメ−ルの即 時報告。もらった資料には他社製品との比較が載っていた。 WISE Audit Message archive & filter Version 3 > (株)エア−。電子メ−ルア−カイブ&フィルタシステム。ファイアウォ−ルの内側に設 置のこと、メ−ルリレ−とメ−ルストアの間に設置して、メ−ルを蓄える。高速全文検 索、類似検索、デ−タベ−ス検索。 電子メ−ルのフィルタリング(ウィルスチェックで はない)。アクセスログや統計情報ログ。メ−ルの復元。Red Hat Enterprise, Solaris 8/9/10 対応。http://www.air.co.jp/。 GUARDIANWALL > キャノンシステムソリュ−ションズ(株) 国内シェアNo.1 のメ−ルフィルタリングソフ ト。ホ−ムペ−ジに価格表あり。ユ−ザ数は500人以下を想定 Standard 140, Advanced 210。GUARDIANBOX は1Uのアプライアンス URLFilter SpamFilter ProCap の3種類が ある。GUARDIANBOX ProCap 150万円、パケットをキャプチャする製品。 ZL Unified Archived Suite > SGIの製品はどうか。懇意にしているSI業者が自分とこで導入した製品、しかし正 式には販売してないとの話。これでメ−ルをパソコンに戻せたとのこ。SGIはかつて EWSの INDY 等を製造していた。最近はこんなこともやっているのか。リモ−トデス クトップのソフトも扱っている。http://www.sgi.co.jp/solutions/security/ziplip/。 ------------------------------------------------------------------------------------ [ 付録 ] 新 Mail-Relay の事前動作確認 `27/10〜12 * 新 Mail-Relay の事前の動作確認−その1 Sun の新しいマシンを購入し Mail-Relay として設定した。実践配備する前に動作確認を しておく。予備の Mail-Store との間でメ−ルの送受信がちゃんとできるか。退役になっ た FireWall の Ultra 10 もまだ動くので、実際のネットワ−クを模擬して確認テストを するのが望ましい。しかしそこまでやることもなかろうと、 Mail-Relay のIPアドレス を変えてテストしてみることにした。Mail-Relay では sendmail と named が動いている。 Mail-Store と Mail-Relayの sendmail の制御ファイルの設定を変更し、手元のテスト環 境に合わせた。参考: ybase6.txt commun2.txt commun7.txt [ 予備 Mail-Store ] Mail-Store Mail-Relay PC /etc/mail/sendmail-tx.cf ■ ■ □ ------------------------ |.9 |.11 |.12 |DSsmtp:[192.168.1.11]') << ------------------------------- # /etc/rc2.d/S88sendmail stop Mail-Storeのホスト名は本番機は hostB だが # /etc/rc2.d/S88sendmail start ここでは nnn にしている。何でも構わない。 /etc/nsswitch.conf /etc/hosts ------------------ --------------------------------------------- |hosts: files |127.0.0.1 localhost |192.168.1.9 nnn nnn. nnn.nix.co.jj loghost << |192.168.1.11 hostA << これは関係なし。 [ 新設 Mail-Relay ] /etc/mail/access /etc/mail/mailertable ---------------------------- ------------------------------ |Connect: 192.168.1.9 RELAY << |nix.co.jj esmtp:[192.168.1.9] << |To: nix.co.jj RELAY |nix.co.jj RELAY # /usr/sbin/makemap hash access < access # /usr/sbin/makemap hash mailertable < mailertable /etc/hosts /etc/nsswitch.conf -------------------------------------------------- ------------------ |127.0.0.1 localhost localhost.nix.co.jj |hosts: files dns |192.168.1.11 hostA hostA. mail.nix.co.jj loghost << |192.168.1.9 hostB << * 新 Mail-Relay の事前の動作確認−その2 新 Mail-Relay ホストを hostM としてDMZに仮設置してみる。/etc/hosts のとこが違 うだけで、/etc/mail/access, mailertable は本稼働のと同じである。hostM から内部ネ ットのメ−ルアドレスにメ−ルを出すことができる。#mailx -v katou@nix.co.jj。hostM から外へはメ−ルを出すのに、hostMのDNSで 202.241.128.9 の逆引きができるように しないとできなかった?。確かそうだったはずだが、いろいろごちゃごちゃしていたので。 ひょっとすると正引きも書かないといけない?、もしこのような場面がでてきて、おかし かったらトライしてみること。確実にできないのは、hostB の Mail-Store から hostMへ はメ−ルを中継できないことである。実際に置き換えした後、hostA だったのを hostMと してDNSとメ−ルのテストをした。前の設定のまま、202.241.128.9 の逆引きなしでも 外にメ−ルを送ることができた。 動作は named と sendmail のバ−ジョ □hostA' □hostM' ンや制御ファイルにも関わるだろう。 |.3 |.9 hostA: sendmail-8.12.5, BIND-8.2.3 ------------------------- 202.241.128.0 hostM: sendmail-8.14.1, BIND-9.4.2 | 現□hostA □hostM 新 |.2 |.1 |.9 hostA,M をネットワ−クから外し、これ hostB □------------------- 192.168.2.0 らのマシンからメ−ルを送ると、1分位 □ | □Server △PC して "Name server timeout"と画面に出 .1| |.2 |.7 |.8 て、メ−ルは/var/spool/clientmqueue/ --------------------------- 192.168.1.0 に将来の配送のため入る。 hostM の /etc/hosts hostM から外にメ−ルを出すと仮想IP ------------------------------------------ アドレスの働きで202.241.128.9 から発 |#192.168.2.1 hostA mail.nix.co.jj loghost 信したことになる。左 /etc/hosts ファ |192.168.2.9 hostA mail.nix.co.jj loghost イルに hostA. を加えることもある。